KLYR Forensic Unit — Cas clos. Tous les noms, dates et adresses ont été modifiés pour préserver la confidentialité du dossier et l'instruction judiciaire.
1. L'Appât : La faille du téléphone de service
L'histoire commence un samedi soir dans un établissement parisien très fréquenté. "E.", la victime, utilise un téléphone professionnel de service pour gérer sa musique et ses réservations. Ce qu'il oublie, c'est que son application Google Keep personnelle est restée connectée et accessible depuis l'écran d'accueil. The story begins on a Saturday night in a busy Parisian venue. "E.", the victim, uses a professional service phone to manage music and reservations. What he forgets is that his personal Google Keep app is still logged in and accessible from the home screen.
Lors d'une soirée privatisée pour un grand groupe, le téléphone disparaît mystérieusement. Le gérant contacte l'organisatrice le lendemain, qui s'excuse : les invités ont "emporté le téléphone par erreur" et promettent de le rapporter. Après quelques reports, une tierce personne finit par restituer l'appareil, 4 jours plus tard. La batterie est vide, l'appareil est éteint. During a private party for a large group, the phone disappears mysteriously. The manager contacts the organizer the next day, who apologizes: the guests "took the phone by mistake" and promise to return it. After a few delays, a third party finally returns the device, 4 days later. The battery is dead, the device is off.
C'est là que le piège se referme. Lorsque la victime rallume son téléphone, l'application Google Keep apparaît immédiatement à l'écran, directement ouverte sur la note contenant ses Seed Phrases (phrases de récupération de wallets cryptographiques). This is where the trap closes. When the victim turns the phone back on, the Google Keep app immediately appears on the screen, directly opened on the note containing his Seed Phrases (crypto wallet recovery phrases).
2. Le Mur : L'illusion de sécurité et le drain asynchrone
Exactement 45 heures après la restitution en main propre du téléphone, l'attaque numérique est déclenchée. L'auteur a délibérément patienté. Son but : copier les seed phrases pendant qu'il détenait l'appareil, mais attendre sa restitution à la victime pour exécuter le braquage numérique afin que la victime pense que le vol venait d'ailleurs. Exactly 45 hours after the physical return of the phone, the digital attack is triggered. The attacker deliberately waited. His goal: copy the seed phrases while possessing the device, but wait for its return to the victim to execute the digital heist so the victim thinks the theft came from elsewhere.
L'agresseur n'est pas un novice. Il emploie un protocole de type "Cross-Chain Aggregator" (LI.FI / Across V4) pour extraire de la BNB Smart Chain vers le réseau principal Ethereum, tout en drainant simultanément le réseau spécialisé Katana (Ronin Network). The attacker is no novice. He employs a "Cross-Chain Aggregator" protocol (LI.FI / Across V4) to extract from the BNB Smart Chain to the Ethereum mainnet, while simultaneously draining the specialized Katana network (Ronin Network).
3. Le Scalpel : Le traçage KLYR à travers les Hops
La victime mandate KLYR Forensic Unit. Notre objectif : corréler l'identité des voleurs du téléphone (piste physique) avec l'auteur du drain (piste numérique/blockchain). Nous commençons par analyser l'adresse ETH "Hub" de l'attaquant (0xa07e...3c2d). The victim mandates KLYR Forensic Unit. Our objective: correlate the identity of the phone thieves (physical trail) with the perpetrator of the drain (digital/blockchain trail). We start by analyzing the attacker's "Hub" ETH address (0xa07e...3c2d).
Depuis ce Hub, l'attaquant lance un schéma de blanchiment en entonnoir. Il disperse d'abord les fonds dans une douzaine de portefeuilles satellites distincts ("Hops" de niveau 1), avec des transactions fragmentées allant de 0.5 à 1.5 ETH. From this Hub, the attacker launches a funnel laundering scheme. He first disperses the funds into a dozen distinct satellite wallets (Level 1 "Hops"), with fragmented transactions between 0.5 and 1.5 ETH.
Certains tokens restent "dormants" dans les satellites pour créer une fausse piste de hodling. Mais en traçant patiemment les nœuds actifs, nous contournons l'anonymat. Les fonds de 3 hops se rejoignent dans un consolidateur de second niveau, jusqu'à atterrir sur une adresse de dépôt pré-identifiée Kraken. Some tokens remain "dormant" in the satellites to create a false hodling trail. But by patiently tracing the active nodes, we bypass anonymity. The funds from 3 hops converge in a second-level consolidator, ending up on a pre-identified Kraken deposit address.
4. La Chute : Corrélation et Judiciarisation
Le traçage complet, comprenant plus de 100+ transactions passées au peigne fin (Evidence Matrix CSV), révèle que les fonds aboutissent sur deux plateformes régulées principales : Kraken et Coinbase. The complete tracing, including over 100+ scrutinized transactions (Evidence Matrix CSV), reveals that the funds end up on two main regulated platforms: Kraken and Coinbase.
Dans notre rapport d'expertise, remis sous format PDF de 15 pages certifiées + dataset bruts pour la police (GendNotes), nous établissons ce double nexus : In our expert report, delivered as a 15-page certified PDF + raw dataset for the police, we establish this dual nexus:
- D'une part, les preuves matérielles physiques : données de l'agenda, identité de l'organisatrice, et numéros de téléphone conservés.On one hand, physical evidence: agenda data, organizer identity, and saved phone numbers.
- D'autre part, la preuve on-chain absolue : les deux identifiants CEX (KYC) où résident les comptes bancaires (IBANs) et identités complètes de l'architecte du siphon.On the other, absolute on-chain proof: the two CEX (KYC) identifiers where the bank accounts (IBANs) and full identities of the siphon architect reside.
Un dossier similaire bloque chez les autorités ? Similar case stuck with the authorities?
Nous matérialisons les circuits indéchiffrables en preuves structurées, prêtes pour le Procureur de la République. We materialize indecipherable circuits into structured evidence, ready for the Public Prosecutor.